Dibawah perkembangan kejahatan internet yang semakin canggih, para peniliti telah mendokumentasikan salah satu botnet yang dikenal sebagai terminal dari target point-of-sale (PoS) yang digunakan oleh toko dan restoran untuk memproses pembayaran kartu kredit dan debit dari penggunanya.
Botnet tetap aktif pada saat menulis dan telah disetujui lebih dari 20.000 kartu pembayaran sejak bulan Agustus lalu, para peneliti dari IntelCrawler, penyedia layanan intelijen keamanan berbasis di Los Angeles, ujar Ars. Para peneliti menemukan temuan setelah menerobos salah satu server yang digunakan untuk mengirimkan perintah ke mesin dan menerima data yang dicuri dari mereka. Screenshot yang baru-baru ini diambil menunjukkan bahwa itu telah dikendalikan sebanyak 31 mesin berdasarkan yang dikatakan oleh para peneliti kepada para pemilik restoran dan pengecer yang berbasis di A.S. Beberapa mesin yang terinfeksi adalah server, sehingga jumlah perangkat PoS yang terkena bisa jauh lebih tinggi. Para peneliti melaporkan temuan mereka kepada lembaga penegak hukum bahwa mereka menolak untuk mengidentifikasikan namanya.
Hacking berbasis PoS bukanlah sesuatu yang baru. Insiden yang dikenal dengan mencuri data lebih dari 146.000 kartu setelah menginfeksi 200 terminal yang digunakan di toko-toko Subway Sandwich dan pedagang kecil lainnya. Berdasarkan informasi dari jaksa federal, para penjahat berada di balik gangguan yang menginfeksi satu atau lebih server dengan “mengendus” software yang dicatat pada nomor kartu pembayaran dan mengirimkannya ke server. Meskipun sekarang para penjahat akan dihukum bagi yang bisa meng-install backdoor pada komputer yang mereka akses, sehingga mereka dapat mengubah pengaturan konfigurasi dan menginstal program baru, tidak ada bukti dari botnet yang secara aktif mengontrol mesin yang terinfeksi pada lockstep.
Infeksi yang diamati oleh IntelCrawler, sebaliknya, jauh lebih maju. Mereka memperbolehkan penyerang untuk mengepung sebagian besar dari perangkat PoS kedalam botnet tunggal. Alat penghubung memudahkan untuk memantau kegiatan mesin yang terinfeksi secara real time dan untuk memperlihatkan perintah gambar. Singkatnya, mereka harus menuju terminal PoS seperti apa yang ZeuS, Citadel, dan trojan perbankan lainnya lakukan ke rekening bank secara online. Kode membantu mempermudah proses yang telah dijuluki oleh StarDust.
Bukan malware PoS
Para pengembang StarDust yang memiliki pengetahuan mendalam tentang sistem kerja inner aplikasi PoS seperti Clearview PoS. Akibatnya, malware dapat ditemukan dalam memori data komputer yang sensitif, dalam beberapa kasus pada bentuk cleartext, telah disimpan. StarDust juga dapat mencium traffic jaringan dan mampu menyadap data kartu Track1 dan Track2. Untuk tetap tersembunyi, rincian kartu tersebut hanya di transfer ketika terminal tidak aktif dan screensaver aktif. Hal ini menggunakan cipher RC4 untuk mengenkripsi data sebelum itu dikirim ke server kontrol.
Masih belum jelas bagaimana para penyerang berhasil menginfeksi terminal PoS dan server yang membentuk botnet. Di masa lalu, para penjahat telah menargetkan kerentanan yang dikenal dalam aplikasi yang banyak penjual software PoS gunakan untuk mengelola sistem pelanggan secara jarak jauh. Password administrator yang lemah, tidak melaksanakan security update secara tepat waktu, atau vulnerability yang tidak diketahui dalam aplikasi PoS itu sendiri juga bisa menjadi kemungkinan.
StarDust, yang terkadang disebut dengan Dexter V2, muncul di pasaran beberapa bulan yang lalu. Muncul berdasarkan pada kode sumber Dexter yang dibocorkan secara online setelah pengembang memiliki perbedaan pemikiran. Sebanyak 80 persen dari malware telah ditargetkan kedalam sistem PoS yang dikembangkan di negara-negara berbahasa Rusia, seperti Komarov. Perintah server dan sistem cadangan yang terletak di Moskow dan Saint Petersburg di Federasi Rusia. Dia mengatakan orang-orang yang menjalankan itu adalah bagian dari SharkMoney.CC dan memiliki hubungan dengan the Russian Business Network, sebagai penyedia hosting “bullet-proof” untuk para penjahat.
Dexter pada awalnya dilaporkan oleh Seculert yang berbasis di Israel. Sementara kemampuan dari malware telah diketahui selama 12 bulan, analisis dari IntelCrawler adalah yang pertama kali mendokumentasikan sebuah botnet yang aktif berjalan pada varian malware. Itu juga yang pertama dilaporkan dari transformasinya ke StarDust dan kemampuannya ditingkatkan untuk menyadap data kartu kredit.
Sumber
Botnet tetap aktif pada saat menulis dan telah disetujui lebih dari 20.000 kartu pembayaran sejak bulan Agustus lalu, para peneliti dari IntelCrawler, penyedia layanan intelijen keamanan berbasis di Los Angeles, ujar Ars. Para peneliti menemukan temuan setelah menerobos salah satu server yang digunakan untuk mengirimkan perintah ke mesin dan menerima data yang dicuri dari mereka. Screenshot yang baru-baru ini diambil menunjukkan bahwa itu telah dikendalikan sebanyak 31 mesin berdasarkan yang dikatakan oleh para peneliti kepada para pemilik restoran dan pengecer yang berbasis di A.S. Beberapa mesin yang terinfeksi adalah server, sehingga jumlah perangkat PoS yang terkena bisa jauh lebih tinggi. Para peneliti melaporkan temuan mereka kepada lembaga penegak hukum bahwa mereka menolak untuk mengidentifikasikan namanya.
Hacking berbasis PoS bukanlah sesuatu yang baru. Insiden yang dikenal dengan mencuri data lebih dari 146.000 kartu setelah menginfeksi 200 terminal yang digunakan di toko-toko Subway Sandwich dan pedagang kecil lainnya. Berdasarkan informasi dari jaksa federal, para penjahat berada di balik gangguan yang menginfeksi satu atau lebih server dengan “mengendus” software yang dicatat pada nomor kartu pembayaran dan mengirimkannya ke server. Meskipun sekarang para penjahat akan dihukum bagi yang bisa meng-install backdoor pada komputer yang mereka akses, sehingga mereka dapat mengubah pengaturan konfigurasi dan menginstal program baru, tidak ada bukti dari botnet yang secara aktif mengontrol mesin yang terinfeksi pada lockstep.
Infeksi yang diamati oleh IntelCrawler, sebaliknya, jauh lebih maju. Mereka memperbolehkan penyerang untuk mengepung sebagian besar dari perangkat PoS kedalam botnet tunggal. Alat penghubung memudahkan untuk memantau kegiatan mesin yang terinfeksi secara real time dan untuk memperlihatkan perintah gambar. Singkatnya, mereka harus menuju terminal PoS seperti apa yang ZeuS, Citadel, dan trojan perbankan lainnya lakukan ke rekening bank secara online. Kode membantu mempermudah proses yang telah dijuluki oleh StarDust.
Bukan malware PoS
Para pengembang StarDust yang memiliki pengetahuan mendalam tentang sistem kerja inner aplikasi PoS seperti Clearview PoS. Akibatnya, malware dapat ditemukan dalam memori data komputer yang sensitif, dalam beberapa kasus pada bentuk cleartext, telah disimpan. StarDust juga dapat mencium traffic jaringan dan mampu menyadap data kartu Track1 dan Track2. Untuk tetap tersembunyi, rincian kartu tersebut hanya di transfer ketika terminal tidak aktif dan screensaver aktif. Hal ini menggunakan cipher RC4 untuk mengenkripsi data sebelum itu dikirim ke server kontrol.
Masih belum jelas bagaimana para penyerang berhasil menginfeksi terminal PoS dan server yang membentuk botnet. Di masa lalu, para penjahat telah menargetkan kerentanan yang dikenal dalam aplikasi yang banyak penjual software PoS gunakan untuk mengelola sistem pelanggan secara jarak jauh. Password administrator yang lemah, tidak melaksanakan security update secara tepat waktu, atau vulnerability yang tidak diketahui dalam aplikasi PoS itu sendiri juga bisa menjadi kemungkinan.
StarDust, yang terkadang disebut dengan Dexter V2, muncul di pasaran beberapa bulan yang lalu. Muncul berdasarkan pada kode sumber Dexter yang dibocorkan secara online setelah pengembang memiliki perbedaan pemikiran. Sebanyak 80 persen dari malware telah ditargetkan kedalam sistem PoS yang dikembangkan di negara-negara berbahasa Rusia, seperti Komarov. Perintah server dan sistem cadangan yang terletak di Moskow dan Saint Petersburg di Federasi Rusia. Dia mengatakan orang-orang yang menjalankan itu adalah bagian dari SharkMoney.CC dan memiliki hubungan dengan the Russian Business Network, sebagai penyedia hosting “bullet-proof” untuk para penjahat.
Dexter pada awalnya dilaporkan oleh Seculert yang berbasis di Israel. Sementara kemampuan dari malware telah diketahui selama 12 bulan, analisis dari IntelCrawler adalah yang pertama kali mendokumentasikan sebuah botnet yang aktif berjalan pada varian malware. Itu juga yang pertama dilaporkan dari transformasinya ke StarDust dan kemampuannya ditingkatkan untuk menyadap data kartu kredit.
Sumber